我无法更改调制解调器固件,也没有合法的方法来启用桥接模式。我想添加一个路由器,这样我就可以完全控制网络。
如果我使用 DMZ 来实现这一点,我的安全性如何?如果攻击者能够攻破我安全性较低的调制解调器(也是路由器)并更改 DNS 等某些设置,会发生什么?有什么方法可以最大程度地降低风险?
我的 ISP 的路由器/调制解调器¹ => DMZ => 带 DHCP 和 NAT 的路由器 => 我的所有设备
¹wifi 已禁用,未连接有线设备,但我无法禁用 NAT 或 DHCP
答案1
是的,我认为将 DMZ 连接到您自己的调制解调器不会造成任何危害。因此,您基本上会将路由器用作 MIM,但这一切都仍在您的内部网络中。一个问题是,这将产生大量路由、增加延迟等,但这不应该发生在小型设置上。就安全性而言,即使黑客确实设法进入调制解调器外壳,他也只能访问路由器,这意味着他必须入侵两次才能进入您的系统,从而实际上提高了安全性。
就 DNS 而言,如果黑客将服务器更改为恶意服务器,当他们试图在您使用 SSL 时钓鱼您的请求时,您会收到无效证书警告。您可以做的最后一件事是启用日志记录(尽管在大多数情况下,当您重新启动路由器时,这些日志记录通常会被清除)
此外,完全关闭调制解调器中的远程管理(来自 WAN)也会有很大帮助。有时最简单的方法就是将所有端口更改为不显眼的端口。例如,将路由器的 telnet 端口从 23 更改为 10023。除非他们专门针对您,否则通常没有人有足够的资源来扫描所有端口。